Hoe maak je je toeleveringsketen cyberveilig?
De keten is zo sterk als de zwakste schakel. Dit gezegde geldt ook in de wereld van cybersecurity. Bedrijven vertrouwen vaak op producten en diensten van leveranciers. Wanneer organisaties digitaal met elkaar verbonden zijn, wordt een kwetsbaarheid alleen maar vergroot: een beveiligingslek bij een leverancier kan namelijk grote gevolgen hebben voor jouw bedrijf. Daarom stelt de Europese NIS2-richtlijn dat ‘belangrijke’ en ‘essentiële’ bedrijven maatregelen moeten nemen om de beveiliging van hun toeleveringsketen te versterken.
Wat kan er misgaan in de keten?
Niet elk bedrijf of elke sector is even goed voorbereid op digitale dreigingen. Jij kunt je cybersecurity namelijk wel goed op orde hebben, maar alsnog risico lopen door kwetsbaarheden bij jouw leveranciers of IT-dienstverleners. Dit kan de beschikbaarheid, vertrouwelijkheid en integriteit van je bedrijfsprocessen en data in gevaar brengen – en daarmee je hele bedrijf.
Er zijn verschillende cyberrisico’s in de toeleveringsketen die je bedrijf kunnen treffen. Hier zijn drie veelvoorkomende scenario’s:
- Een leverancier kan niet meer leveren na een digitale aanval. Stel dat jouw leverancier van specifieke machineonderdelen slachtoffer wordt van een ransomware-aanval en daardoor geen bestellingen meer kan verwerken. Dit kan leiden tot stilstand van productieprocessen, omdat essentiële onderdelen voor je productielijn niet tijdig geleverd worden. Dit kan resulteren in productieverlies en gemiste leveringsdeadlines voor jouw klanten;
- Je IT-dienstverlener wordt gehackt, waardoor de aanvaller mogelijk toegang krijgt tot jouw systemen. Als de IT-dienstverlener die jouw productie-automatiseringssoftware beheert wordt gehackt, kunnen kwaadwillenden via die software toegang krijgen tot jouw systemen. Dit kan ertoe leiden dat productie-instellingen worden gemanipuleerd, bijvoorbeeld door het aanpassen van CNC-instellingen, wat resulteert in foutieve producties of zelfs fysieke schade aan de machines;
- Er wordt een kritieke kwetsbaarheid ontdekt in een product of dienst die jij gebruikt. Als er bijvoorbeeld een lek wordt ontdekt in de software van een industriële robot die je gebruikt in de assemblagelijn, kan een hacker via dat lek toegang krijgen tot de besturingssystemen van de robot en deze saboteren of stilleggen. Dit kan leiden tot langdurige stilstand van de productie en mogelijk schade aan de robots en producten;
Beleid voor de toeleveranciersketen
Het is niet eenvoudig om volledig inzicht en controle te krijgen op cybersecurityrisico’s in de toeleveringsketen. Wil je een sterke en cyberveilige keten, dan is een goed beleid essentieel. Hierin breng je de afhankelijkheidsrelaties met je directe leveranciers of dienstverleners in kaart en leg je de focus op de IT-toeleveringsketen om potentiële risico’s te beperken.
Beleidsplan voor de toeleveringsketen
Een strategisch beleidsplan voor je toeleveringsketen helpt je grip te krijgen op de risico’s. Het document bevat onder andere:
Daarnaast is één van de belangrijkste onderdelen van NIS2 het beheer van leveranciers. Zo vereist NIS2 dat je bij het afnemen van diensten of producten inzicht hebt in de volgende zaken:
- Kan een leverancier aantonen dat hij voldoet aan de cybersecurityspecificaties die jij aan ze stelt?
- Wat zijn de risicoclassificaties van de IT-diensten of producten die worden geleverd?
- Voer een gecoördineerde risicobeoordeling uit op je kritieke toeleveranciers.
Contractuele afspraken met leveranciers
Om controle te houden over risico’s en afhankelijkheden, is het essentieel om goede afspraken te maken met je leveranciers. Dit kan worden vastgelegd in een zogeheten Service Level Agreement (SLA). Hierin stel je de verwachte prestaties en responsniveaus vast. Voor de ketenbeveiliging kun je in de SLA afspraken opnemen over onder andere:
Heb je nog geen afspraken vastgelegd? Gebruik het gesprek met je IT-dienstverlener als startpunt voor duidelijke afspraken over cyberveiligheid.
Effectiviteit en herziening
Het beleidsplan voor de toeleveringsketen moet periodiek getoetst worden, bijvoorbeeld via een audit. Voor maakbedrijven betekent dit onder andere dat de cybersecurity van belangrijke apparatuur, zoals PLC’s (Programmable Logic Controllers), industriële robots en automatiseringssoftware, grondig wordt gecontroleerd. Ook moet het plan regelmatig herzien worden om rekening te houden met veranderingen. Zeker binnen de IT en cybersecurity worden vaak nieuwe technologieën geïntroduceerd. Ook kan er sprake zijn van een toename van cyberdreigingen die specifiek gericht zijn op de maakindustrie, zoals aanvallen op OT-systemen die de productie aansturen.
Als NIS2-organisatie ben je verantwoordelijk voor het identificeren en beperken van de risico’s – ook die vanuit de toeleveringsketen. Voor de maakindustrie kan dit betekenen dat je inzicht hebt in hoe goed de leveranciers van bijvoorbeeld je CNC-machines of geautomatiseerde opslag- en transportsystemen beveiligd zijn. Het is daarom enorm belangrijk om heldere afspraken te maken met deze leveranciers, zoals een meldplicht voor cyberincidenten, en voortdurend zicht te houden op de risico’s die zij met zich meebrengen. Zo kun je ervoor zorgen dat potentiële dreigingen beperkt blijven tot een aanvaardbaar niveau en de continuïteit van je productieprocessen gewaarborgd blijft.